11
Passwortmanager für kleine EDV Firma mit ACL
Liebe Community,
wir (kleine EDV Firma, 5 Personen) sind seit längerer Zeit auf der Suche nach einem sicheren Passwortmanager.
Folgende Features wären gut:
- ACL (Dh. eine DB mit verschiedenen Berechtigungsstufen)
- Open Source
- auf eigenen Server zu hosten
- ev. Audit Funktion
- optimaler Weiße eine Art Auto-typing für Webseiten dgl.
Natürlich haben wir schon einige Sachen probiert, aber es scheitert sehr oft, da es wo anders gehostet wird oder extrem teuer ist.
Eigentlich wäre Keepass perfekt, wenn es Multi-User fähig wäre (ACL).
Würde mich sehr über euren Input freuen!
Lg
aquilax
wir (kleine EDV Firma, 5 Personen) sind seit längerer Zeit auf der Suche nach einem sicheren Passwortmanager.
Folgende Features wären gut:
- ACL (Dh. eine DB mit verschiedenen Berechtigungsstufen)
- Open Source
- auf eigenen Server zu hosten
- ev. Audit Funktion
- optimaler Weiße eine Art Auto-typing für Webseiten dgl.
Natürlich haben wir schon einige Sachen probiert, aber es scheitert sehr oft, da es wo anders gehostet wird oder extrem teuer ist.
Eigentlich wäre Keepass perfekt, wenn es Multi-User fähig wäre (ACL).
Würde mich sehr über euren Input freuen!
Lg
aquilax
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 559358
Url: https://administrator.de/contentid/559358
Ausgedruckt am: 25.11.2024 um 04:11 Uhr
11 Kommentare
Neuester Kommentar
Kuckt euch mal Bitwarden an. Nicht das Tollste aber Open Source und ihr könnt es selber hosten.
Servus!
ich hab das mit der portable Version von KeePass umgestzt...
Den habe ich auf einen Ordner geschmissen, der nur für berechtigte User zugänglich ist... die Keepass datenbank liegt ebenfalls in diesem..
Vielleicht hilft dir das ja
Grüße
ich hab das mit der portable Version von KeePass umgestzt...
Den habe ich auf einen Ordner geschmissen, der nur für berechtigte User zugänglich ist... die Keepass datenbank liegt ebenfalls in diesem..
Vielleicht hilft dir das ja
Grüße
Habe ich mir angeschaut. Wobei die Installation ist offensichtlich nicht so easy going... Muss ich mir genauer anschauen...
Aufgrund der Fehlenden ACL Möglichkeit ist das leider nicht brauchbar, vor Allem weil man dann ja 5 Datenbanken pflegen muss.
Hallo aquliax,
was für Berechtigungsstufen der ACL schweben Dir denn vor?
Wenn es nur rein darum geht, keinen Sammelpool mit einem Passwort-Tresor mit allen Passwörtern zu haben, sondern hier beispielsweise zwischen personengebundenen und allgemeinen Passwörtern zu differenzieren, kannst Du KeePass durchaus verwenden.
Ich beschreibe Dir mal das Setup unter Einsatz von KeePass, was die oben beschriebene Anforderung erfüllt, vielleicht ist es ja das, was Du suchst:
Es gibt einen allgemeinen KeePass-Tresor für alle 5 Mitarbeiter mit allgemeinen, nicht personenbezogenen Zugängen (Beispiel: Sammlung von Zugangscodes für die Admin-Oberflächen von Druckern einer bestimmten Baureihe).
Dieser KeePass liegt auf einer für alle zugänglichen Netzwerkfreigabe, ggfs. kannst Du hier noch, (wenn gewünscht) über RW/RO-Berechtigungen einschränken, wer an diesem KeePass Änderungen vornehmen darf.
Jeder einzelne Mitarbeiter hat zusätzlich einen persönlichen KeePass-Tresor, der auf einer nur ihm persönlich zugänglichen Netzwerkfreigabe liegt. Hier werden die personengebundenen Passwörter eingetragen (beispielsweise Zugangsdaten zum persönlichen Account im Ticketsystem).
Möchte ein Mitarbeiter für die Arbeit nicht immer mehrere KeePass-Tresore öffnen müssen kann er noch sich das KeePass-Plugin "KeeAutoExec" installieren. Wenn dieses eingerichtet ist, öffnet sich fortan mit Öffnen des persönlichen KeePass-Tresors auch der allgemeine KeePass-Tresor in einem zweiten Tab, je nach Bedarf kann nun munter zwischen beiden Datenbanken gewechselt werden.
Viele Grüße
eggired
P.S. Noch als Tipp für die Ersteinrichtung des gemeinsamen KeePass: Dieser sollte im Auftakt zunächst durch einen einzelnen Mitarbeiter eingerichtet und erst dann auf die allgemein zugängliche Netzwerkfreigabe verschoben werden - das spart unterschiedlich betitelte, aber inhaltlich identischen Einträge.
was für Berechtigungsstufen der ACL schweben Dir denn vor?
Wenn es nur rein darum geht, keinen Sammelpool mit einem Passwort-Tresor mit allen Passwörtern zu haben, sondern hier beispielsweise zwischen personengebundenen und allgemeinen Passwörtern zu differenzieren, kannst Du KeePass durchaus verwenden.
Ich beschreibe Dir mal das Setup unter Einsatz von KeePass, was die oben beschriebene Anforderung erfüllt, vielleicht ist es ja das, was Du suchst:
Es gibt einen allgemeinen KeePass-Tresor für alle 5 Mitarbeiter mit allgemeinen, nicht personenbezogenen Zugängen (Beispiel: Sammlung von Zugangscodes für die Admin-Oberflächen von Druckern einer bestimmten Baureihe).
Dieser KeePass liegt auf einer für alle zugänglichen Netzwerkfreigabe, ggfs. kannst Du hier noch, (wenn gewünscht) über RW/RO-Berechtigungen einschränken, wer an diesem KeePass Änderungen vornehmen darf.
Jeder einzelne Mitarbeiter hat zusätzlich einen persönlichen KeePass-Tresor, der auf einer nur ihm persönlich zugänglichen Netzwerkfreigabe liegt. Hier werden die personengebundenen Passwörter eingetragen (beispielsweise Zugangsdaten zum persönlichen Account im Ticketsystem).
Möchte ein Mitarbeiter für die Arbeit nicht immer mehrere KeePass-Tresore öffnen müssen kann er noch sich das KeePass-Plugin "KeeAutoExec" installieren. Wenn dieses eingerichtet ist, öffnet sich fortan mit Öffnen des persönlichen KeePass-Tresors auch der allgemeine KeePass-Tresor in einem zweiten Tab, je nach Bedarf kann nun munter zwischen beiden Datenbanken gewechselt werden.
Viele Grüße
eggired
P.S. Noch als Tipp für die Ersteinrichtung des gemeinsamen KeePass: Dieser sollte im Auftakt zunächst durch einen einzelnen Mitarbeiter eingerichtet und erst dann auf die allgemein zugängliche Netzwerkfreigabe verschoben werden - das spart unterschiedlich betitelte, aber inhaltlich identischen Einträge.
Hallo
die Frage nach Passwort-Manager wurde schon sehr oft gestellt. Nutze dazu die Suchfunktion.
Gruss Penny.
die Frage nach Passwort-Manager wurde schon sehr oft gestellt. Nutze dazu die Suchfunktion.
Gruss Penny.
Hallo eggired,
mir geht es hier darum, das es keine doppelten Einträge gibt. Die es bei mehreren Datenbanken ja geben muss. Zumal müssen die alle einzeln gepflegt werden. Die Möglichkeit das man jemand die Berechtigung für einen neuen Kunden dgl. gibt, wäre super.
Natürlich wäre es gut wenn es dann auch mobiltauglich wäre und auch für Webseiten verwenden kann - eben mit Autotype. Also ein Alleskönner. Die ganzen Passwörter im Chrome zu haben ist vielleicht komfortabel aber da habe ich nicht das beste Gefühl dabei.
Danke!
mir geht es hier darum, das es keine doppelten Einträge gibt. Die es bei mehreren Datenbanken ja geben muss. Zumal müssen die alle einzeln gepflegt werden. Die Möglichkeit das man jemand die Berechtigung für einen neuen Kunden dgl. gibt, wäre super.
Natürlich wäre es gut wenn es dann auch mobiltauglich wäre und auch für Webseiten verwenden kann - eben mit Autotype. Also ein Alleskönner. Die ganzen Passwörter im Chrome zu haben ist vielleicht komfortabel aber da habe ich nicht das beste Gefühl dabei.
Danke!
Syspass.
Gibt's als Docker Image:
https://hub.docker.com/r/syspass/syspass
Damit ist es dann relativ einfach zu installieren. "Relativ" deshalb, weil man immer noch Docker installieren muss und ein eigenes SSL-Zertifikat einbauen sollte.
Ist Web basiert und kann alles. Gruppenmanagement, Usermanagement, ACLs, ...
Ist allerdings nicht so trivial zu verwalten wie Keepass. Für Anwender, die nur Zugangsdaten benötigen, ist es allerdings wieder einfach handzuhaben.
Größter "Nachteil": leider sind mir persönlich immer sehr viele, extrem faule Mitarbeiter begegnet, denen selbst das einmalige Anmelden auf einer Passwortmanager-Webseite oder die einmale Eingabe eines Superpassworts in Keepass zu viel ist. Die werden mit Sicherheit 17452 Argumente gegen Syspass finden (zu komplex, zu kompliziert, man muss sich anmelden, blablablala).
Die reinen Systemanforderungen sind relativ minimal: wenn Docker läuft, braucht man noch 1-2 GiB RAM mehr und 6 GiB bis 12 GiB an "Festplattenplatz".
Gibt's als Docker Image:
https://hub.docker.com/r/syspass/syspass
Damit ist es dann relativ einfach zu installieren. "Relativ" deshalb, weil man immer noch Docker installieren muss und ein eigenes SSL-Zertifikat einbauen sollte.
Ist Web basiert und kann alles. Gruppenmanagement, Usermanagement, ACLs, ...
Ist allerdings nicht so trivial zu verwalten wie Keepass. Für Anwender, die nur Zugangsdaten benötigen, ist es allerdings wieder einfach handzuhaben.
Größter "Nachteil": leider sind mir persönlich immer sehr viele, extrem faule Mitarbeiter begegnet, denen selbst das einmalige Anmelden auf einer Passwortmanager-Webseite oder die einmale Eingabe eines Superpassworts in Keepass zu viel ist. Die werden mit Sicherheit 17452 Argumente gegen Syspass finden (zu komplex, zu kompliziert, man muss sich anmelden, blablablala).
Die reinen Systemanforderungen sind relativ minimal: wenn Docker läuft, braucht man noch 1-2 GiB RAM mehr und 6 GiB bis 12 GiB an "Festplattenplatz".
Haben wir uns nun angeschaut. Es scheint jedoch etwas begrenzt auf Webseiten zu sein und wenige andere Objekte wie z.B. Kreditkarten. Für ein ev. Passwortmanagement von z.B. Kundenobjekten wie z.B. Servern scheint es ungeeignet zu sein.
Hi aquilax,
mit den doppelten Einträgen verstehe ich nicht ganz - vielleicht stehe ich ja auf dem Schlauch... Ich konstruiere jetzt einfach mal ein Beispiel:
Du erstellst zwei KeePass-Tresore (nachfolgend nur "KeePass" genannt):
KeePass#1: Du erstellst einen persönlichen KeePass nur für Dich -> Hier gehören nur die Daten rein, die Deine Kollegen gar nichts angehen. Das Passwort behältst Du für Dich.
KeePass#2: Du erstellst einen gemeinsam genutzten KeePass, auf den alle zugreifen können -> Hier kommen alle gemeinsam genutzten Daten rein. Das Passwort kennen alle Kollegen.
Du kannst Dir für mehr Bequemlichkeit das "KeeAutoExec"-Plugin installieren und einrichten, sodass Du zum Öffnen von KeePass#1 UND KeePass#2 NUR Dein eigenes Passwort verwenden musst.
Deine Kollegen hingegen haben dann nur Zugriff auf KeePass#2 (wenn sie nicht auch auch Deinem Vorbild folgen) und müssen zum Öffnen dann das allgemeine Passwort nutzen.
Wenn Du nun vielleicht die Zugangsdaten eines neuen Kunden eintragen möchtest, trägst Du diese in KeePass#2 ein, nach dem Speichern können Deine Zugangsdaten dann auch einsehen.
Autotype funktioniert auf nahezu allen Webseiten mit der Tastenkombination Strg+V hervorragend, sowohl für Android als auch iOS gibt es ganz ordentliche Versionen (eigene Erfahrung), lediglich bei der Unterstützung vom "KeeAutoExec"-Plugin muss ich mangels Erfahrung passen, kann es mir aber vorstellen.
Ich hoffe, ich konnte Dir vielleicht etwas weiterhelfen - wenn noch Rückfragen bestehen: Gerne her damit!
Viele Grüße
eggired
P.S.: Deine Einschätzung zum Speichern der Kennwörtern in Chrome teile ich durchaus - da hätte ich auch Bauchschmerzen...
mit den doppelten Einträgen verstehe ich nicht ganz - vielleicht stehe ich ja auf dem Schlauch... Ich konstruiere jetzt einfach mal ein Beispiel:
Du erstellst zwei KeePass-Tresore (nachfolgend nur "KeePass" genannt):
KeePass#1: Du erstellst einen persönlichen KeePass nur für Dich -> Hier gehören nur die Daten rein, die Deine Kollegen gar nichts angehen. Das Passwort behältst Du für Dich.
KeePass#2: Du erstellst einen gemeinsam genutzten KeePass, auf den alle zugreifen können -> Hier kommen alle gemeinsam genutzten Daten rein. Das Passwort kennen alle Kollegen.
Du kannst Dir für mehr Bequemlichkeit das "KeeAutoExec"-Plugin installieren und einrichten, sodass Du zum Öffnen von KeePass#1 UND KeePass#2 NUR Dein eigenes Passwort verwenden musst.
Deine Kollegen hingegen haben dann nur Zugriff auf KeePass#2 (wenn sie nicht auch auch Deinem Vorbild folgen
) und müssen zum Öffnen dann das allgemeine Passwort nutzen.Wenn Du nun vielleicht die Zugangsdaten eines neuen Kunden eintragen möchtest, trägst Du diese in KeePass#2 ein, nach dem Speichern können Deine Zugangsdaten dann auch einsehen.
Autotype funktioniert auf nahezu allen Webseiten mit der Tastenkombination Strg+V hervorragend, sowohl für Android als auch iOS gibt es ganz ordentliche Versionen (eigene Erfahrung), lediglich bei der Unterstützung vom "KeeAutoExec"-Plugin muss ich mangels Erfahrung passen, kann es mir aber vorstellen.
Ich hoffe, ich konnte Dir vielleicht etwas weiterhelfen - wenn noch Rückfragen bestehen: Gerne her damit!
Viele Grüße
eggired
P.S.: Deine Einschätzung zum Speichern der Kennwörtern in Chrome teile ich durchaus - da hätte ich auch Bauchschmerzen...
Hallo eggired,
danke für deine Antwort.
Das Thema ist, ich möchte nicht für jeden Mitarbeiter eine eigene Datenbank anlegen müssen weil bei uns bekommen die Mitarbeiter wirklich nur die Passwörter die Sie brauchen. Bei deinem Beispiel wären wir jetzt auf 7 Datenbanken:
5x User Datenbanken
1x Meine Datenbank
1x allgemeine Datenbank.
Dann gibt es natürlich auch noch das Problem, z.B.:
Wenn es zu Überschneidungen bei z.B. 2 Mitarbeitern kommt, tragt Mitarbeiter A einen Passwortchange in seiner DB ein und Mitarbeiter B hat das falsche Passwort, weil der davon nichts mitbekommen hat....
Ach es ist nicht leicht....
Ich werde mir jetzt mal die Lösung von Devolutions anschauen (https://server.devolutions.net/de) nachdem ich schon lange mit dem Remote Desktop Manager arbeite. Ich melde mich dann, wenn ich ein Ergebnis habe.
lg Aquilax
danke für deine Antwort.
Das Thema ist, ich möchte nicht für jeden Mitarbeiter eine eigene Datenbank anlegen müssen weil bei uns bekommen die Mitarbeiter wirklich nur die Passwörter die Sie brauchen. Bei deinem Beispiel wären wir jetzt auf 7 Datenbanken:
5x User Datenbanken
1x Meine Datenbank
1x allgemeine Datenbank.
Dann gibt es natürlich auch noch das Problem, z.B.:
Wenn es zu Überschneidungen bei z.B. 2 Mitarbeitern kommt, tragt Mitarbeiter A einen Passwortchange in seiner DB ein und Mitarbeiter B hat das falsche Passwort, weil der davon nichts mitbekommen hat....
Ach es ist nicht leicht....
Ich werde mir jetzt mal die Lösung von Devolutions anschauen (https://server.devolutions.net/de) nachdem ich schon lange mit dem Remote Desktop Manager arbeite. Ich melde mich dann, wenn ich ein Ergebnis habe.
lg Aquilax
